E
enrica
Ospite
Privacy: le aziende che non trattano dati sensibili, ma solo dati personali, sono esonerate dalla redazione del D.P.S.S.?
Stai usando un browser molto obsoleto. Puoi incorrere in problemi di visualizzazione di questo e altri siti oltre che in problemi di sicurezza. .
Dovresti aggiornarlo oppure usarne uno alternativo, moderno e sicuro.
Dovresti aggiornarlo oppure usarne uno alternativo, moderno e sicuro.
C
caterina
Ospite
C'è una grande confusione in merito a tale normativa, speriamo che la scadenza del 31.12 venga nuovamente rimandata.
Noi ai nostri clienti facciamo redigere il PDS da conservare in caso di controllo.
Solo chi tratta dati sensibili o giuridici deve inviarlo telematicamente al Garante, giusto??
Noi ai nostri clienti facciamo redigere il PDS da conservare in caso di controllo.
Solo chi tratta dati sensibili o giuridici deve inviarlo telematicamente al Garante, giusto??
A
alberto.
Ospite
inviarlo al garante? ma da quando...
il dps cmq lo redige solo chi gestisce dati personali sensibili con archivi elettronici.. col pc per intenderci..
ciao
il dps cmq lo redige solo chi gestisce dati personali sensibili con archivi elettronici.. col pc per intenderci..
ciao
F
fabio
Ospite
ma bisogna inviarlo per posta a se stessi per dimostrare l'adempimento del 31/12/05
M
marc
Ospite
Non mi risulta che bisogna inviarlo a se' stessi (forse per la data desumibile dalla busta?). Bisogna tenerlo a disposizione di eventuali verificatori e basta. Dps va fatto solamente in caso di gestione di dati sensibili e giudiziari e non va inviato da nessuna parte. Va osservato che chi ha dipendenti quasi certamente tratta dati sensibili(es.malattia in caso di assenza dal lavoro).
G
Gianluca
Ospite
Direi comunque che il Dps deve avere data certa. Un modo economico è andare alle Poste, affrancare il documento e fare annullare i francoboll.
F
fabio
Ospite
Questo DPS è proprio una rottura.....
F
fabio
Ospite
Questo DPS è proprio una rottura.....
M
marco73
Ospite
Dal primo gennaio 2004 é entrato in vigore il nuovo testo Unico sulla protezione dei dati personali (Decreto Legislativo del 29/07/2003 n. 196)
Il nuovo testo unico (il "codice") introduce il concetto nuovo di "tutela" dei dati, riferendosi al bisogno di proteggere il trattamento e l'esistenza stessa dei dati con riferimento non solamente ai dati "sensibili" ma a tutte le categorie di dati.
Il concetto di "riservatezza" dei dati (privacy) esprime invece solamente la necessità di impedire e regolamentare la diffusione di certe particolari categorie di dati (i dati "sensibili")
Il nuovo tracciato normativo stabilisce infatti che "chiunque ha diritto alla protezione dei dati personali lo riguardano". Tale protezione investe qualsiasi tipo di informazione riguardante persone fisiche o giuridiche, mentre per la protezione dei dati sensibili facenti capo alla sfera privata continua a rendersi applicabile anche il diritto alla privacy.
Il nuovo testo unico azzera e sostituisce tutte le norme precedenti.
Ambito applicativo
Devono adeguarsi tutti i soggetti che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati e quanto altro).
Per "trattamento" deve intendersi qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati
Per "dato personale" si deve intendere qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (es. nome, cognome, numero di telefono, codice fiscale, partita iva, ecc.);
Per "dato sensibile" deve intendersi un dato idoneo a rivelare l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti politici, sindacati, associazioni od organizzazioni a carattere religioso, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale di un soggetto.
Le nuove disposizioni si applicano a tutto il territorio dello stato, anche da parte di soggetti extra-europei, salvo non si tratti di mero transito sul territorio dello stato.
La notifica al garante
La notifica consiste nella comunicazione al Garante dell'esistenza del trattamento di dati (non solo sensibili ma tutti i dati) da chiunque effettuato, con esclusione delle sole categorie individuate dal decreto legislativo 196/2003.
Attualmente la notifica può essere effettuata unicamente on-line e mediante utilizzo della firma digitale.
Le misure minime di sicurezza
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solamente se sono adottate alcune misure minime di sicurezza tra cui:
• autenticazione informatica;
• adozione di procedure di gestione delle credenziali di autenticazione;
• utilizzazione di un sistema di autorizzazione;
• aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
• protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
• adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
• tenuta di un aggiornato documento programmatico sulla sicurezza;
• adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
L'applicazione teorica e pratica delle misure minime di sicurezza deve risultare da documento con data certa.
DPSS - Documento Programmatico sulla Sicurezza dei Sistemi
il Documento Programmatico sulla Sicurezza dei Sistemi (DPSS) è il principale documento nel panorama della sicurezza del sistema. Esso attesta che la struttura ha effettuato la valutazione dei rischi dei trattamenti ed ha adottato un "piano" per la riduzione e misura dei rischi derivanti dal trattamento, che funge da prova in caso di controlli.
Il manuale deve avere data certa ed ogni anno necessita entro il 31 marzo di aggiornamento. Deve essere conservato e custodito presso la struttura ed esibito alle competenti autorità in caso di controlli.
Nel DPSS è descritta ed analizzata l'adozione delle misure minime di sicurezza ed il loro miglioramento strutturale nel tempo finalizzato a recepire il nuovo codice sulla privacy.
Per la predisposizione del manuale si rende quindi necessaria una attenta valutazione del trattamento dei dati effettuati.
Privacy obbligatoria nella note integrativa dei bilanci
Il Decreto Legislativo 196 prevede che gli amministratori dichiarino nella relazione accompagnatoria al bilancio di esercizio di aver adempiuto correttamente a tutti gli obblighi di legge. In particolare nella predetta relazione di bilancio bisognerà dare notizia dell'approvazione del Documento Programmatico sulla Sicurezza.
Sanzioni
• sanzioni penali da un minimo di due mesi ad un massimo di tre anni
• sanzioni amministrative fino a 120.000 €
• risarcimento del danno provocato, compreso il risarcimento del danno morale arrecato.
Per l’anno 2005 la scadenza per l'adozione delle nuove misure minime è stata prorogata al 31/12/2005 (D.L. 314/2004).
[%sig%]
Il nuovo testo unico (il "codice") introduce il concetto nuovo di "tutela" dei dati, riferendosi al bisogno di proteggere il trattamento e l'esistenza stessa dei dati con riferimento non solamente ai dati "sensibili" ma a tutte le categorie di dati.
Il concetto di "riservatezza" dei dati (privacy) esprime invece solamente la necessità di impedire e regolamentare la diffusione di certe particolari categorie di dati (i dati "sensibili")
Il nuovo tracciato normativo stabilisce infatti che "chiunque ha diritto alla protezione dei dati personali lo riguardano". Tale protezione investe qualsiasi tipo di informazione riguardante persone fisiche o giuridiche, mentre per la protezione dei dati sensibili facenti capo alla sfera privata continua a rendersi applicabile anche il diritto alla privacy.
Il nuovo testo unico azzera e sostituisce tutte le norme precedenti.
Ambito applicativo
Devono adeguarsi tutti i soggetti che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati e quanto altro).
Per "trattamento" deve intendersi qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati
Per "dato personale" si deve intendere qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (es. nome, cognome, numero di telefono, codice fiscale, partita iva, ecc.);
Per "dato sensibile" deve intendersi un dato idoneo a rivelare l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti politici, sindacati, associazioni od organizzazioni a carattere religioso, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale di un soggetto.
Le nuove disposizioni si applicano a tutto il territorio dello stato, anche da parte di soggetti extra-europei, salvo non si tratti di mero transito sul territorio dello stato.
La notifica al garante
La notifica consiste nella comunicazione al Garante dell'esistenza del trattamento di dati (non solo sensibili ma tutti i dati) da chiunque effettuato, con esclusione delle sole categorie individuate dal decreto legislativo 196/2003.
Attualmente la notifica può essere effettuata unicamente on-line e mediante utilizzo della firma digitale.
Le misure minime di sicurezza
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solamente se sono adottate alcune misure minime di sicurezza tra cui:
• autenticazione informatica;
• adozione di procedure di gestione delle credenziali di autenticazione;
• utilizzazione di un sistema di autorizzazione;
• aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
• protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
• adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
• tenuta di un aggiornato documento programmatico sulla sicurezza;
• adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
L'applicazione teorica e pratica delle misure minime di sicurezza deve risultare da documento con data certa.
DPSS - Documento Programmatico sulla Sicurezza dei Sistemi
il Documento Programmatico sulla Sicurezza dei Sistemi (DPSS) è il principale documento nel panorama della sicurezza del sistema. Esso attesta che la struttura ha effettuato la valutazione dei rischi dei trattamenti ed ha adottato un "piano" per la riduzione e misura dei rischi derivanti dal trattamento, che funge da prova in caso di controlli.
Il manuale deve avere data certa ed ogni anno necessita entro il 31 marzo di aggiornamento. Deve essere conservato e custodito presso la struttura ed esibito alle competenti autorità in caso di controlli.
Nel DPSS è descritta ed analizzata l'adozione delle misure minime di sicurezza ed il loro miglioramento strutturale nel tempo finalizzato a recepire il nuovo codice sulla privacy.
Per la predisposizione del manuale si rende quindi necessaria una attenta valutazione del trattamento dei dati effettuati.
Privacy obbligatoria nella note integrativa dei bilanci
Il Decreto Legislativo 196 prevede che gli amministratori dichiarino nella relazione accompagnatoria al bilancio di esercizio di aver adempiuto correttamente a tutti gli obblighi di legge. In particolare nella predetta relazione di bilancio bisognerà dare notizia dell'approvazione del Documento Programmatico sulla Sicurezza.
Sanzioni
• sanzioni penali da un minimo di due mesi ad un massimo di tre anni
• sanzioni amministrative fino a 120.000 €
• risarcimento del danno provocato, compreso il risarcimento del danno morale arrecato.
Per l’anno 2005 la scadenza per l'adozione delle nuove misure minime è stata prorogata al 31/12/2005 (D.L. 314/2004).
[%sig%]
M
marco73
Ospite
domande?
1) quanto tempo bisogna conservare il dps?
2)chi deve redigere il dps? (solo chi tratta dati sensibili, ovvero in generale chi tratta dati generici?(praticamente tutti))??
1) quanto tempo bisogna conservare il dps?
2)chi deve redigere il dps? (solo chi tratta dati sensibili, ovvero in generale chi tratta dati generici?(praticamente tutti))??